Datenschutz bei Gesundheitsdaten - Interview mit Rechtsanwältin Catharina Glugla

Frau Glugla, welche personenbezogenen Daten dürfen Unternehmen grundsätzlich von ihren Mitarbeitern erheben/ verarbeiten?                 

Das hängt davon ab, wozu ein Unternehmen die Mitarbeiterdaten erheben und verarbeiten möchte. Ganz wichtig für das Verständnis der Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) ist, dass personenbezogene Daten grundsätzlich nur dann verarbeitet werden dürfen, wenn eine sog. Rechtsgrundlage oder ein Erlaubnistatbestand die Datenverarbeitung erlaubt. Die Verarbeitung ist also grundsätzlich untersagt. Bei Gesundheitsdaten gelten dabei strengere Vorgaben als bei „normalen“ Mitarbeiterdaten. Gerade im Bereich des Betrieblichen Gesundheitsmanagements (BGM) ist das Thema Datenschutz daher ein außerordentlich wichtiges Thema.

Mögliche Rechtsgrundlagen, die die Verarbeitung von Mitarbeiterdaten erlauben können, sind zum Beispiel die Durchführung des Arbeitsverhältnisses oder die Erfüllung gesetzlicher Pflichten des Unternehmens z.B. aus dem Arbeitsrecht oder Sozialrecht. Auch die Gesundheitsvorsorge oder die Beurteilung der Arbeitsfähigkeit von Mitarbeitern können die Verarbeitung von Gesundheitsdaten erlauben. Zum Beispiel dürfen Mitarbeiterdaten zur Gehaltsabrechnung, einschließlich der Abführung von Steuern und Sozialabgaben, oder zur Einrichtung des Arbeitsplatzes verarbeitet werden. Auch eine Betriebsvereinbarung kann, wenn sie richtig aufgesetzt wurde, die Datenverarbeitung rechtfertigen.

Ein weiterer Erlaubnistatbestand ist die Zustimmung, die sog. Einwilligung der Mitarbeiter.

In welchen Bereichen müssen Mitarbeiter ihre Zustimmung zur Datenverarbeitung geben?

Die Zustimmung oder Einwilligung ist nur einer von mehreren möglichen Erlaubnistatbeständen für die Verarbeitung personenbezogener Daten. Zunächst muss stets geprüft werden, ob nicht bereits eine andere Rechtsgrundlage die Datenverarbeitung erlaubt. Dann ist eine Einwilligung nicht nur überflüssig, sondern nach Ansicht der Datenschutzbehörden auch unwirksam. Die verschiedenen Verarbeitungen im Rahmen eines BGM sind daher genau zu prüfen.

Verarbeitet der Arbeitgeber im Rahmen des BGM Gesundheitsdaten nicht nur zur Gesundheitsvorsorge oder zur Beurteilung der Arbeitsfähigkeit, sondern darüber hinaus zum Beispiel auch für die Bewertung von Bewegungsprofilen oder Ernährungsmaßnahmen der Mitarbeiter oder tracken hierfür Apps auf Smartphones und Wearables die Anzahl von Schritten oder durchgeführten Übungen, so ist in der Regel eine Einwilligung zur Verarbeitung dieser Daten notwendig.

Braucht jedes Unternehmen einen Datenschutzbeauftragten? 

Nein, nicht jedes Unternehmen muss einen Datenschutzbeauftragten bestellen. In Deutschland sind die Voraussetzungen, wann ein Datenschutzbeauftragter bestellt werden muss, jedoch deutlich niedriger als unter der Datenschutzgrundverordnung (DSGVO).

Während nach der DSGVO nur Unternehmen, deren Kerntätigkeit aus Datenverarbeitungsvorgängen besteht, einen Datenschutzbeauftragten bestellen müssen, reicht es in Deutschland bereits, dass mindestens 20 Personen regelmäßig mit der Verarbeitung personenbezogener Daten betraut sind. Hierfür soll zum Beispiel bereits die Verwendung von E-Mailprogrammen reichen. Die Schwelle in Deutschland ist also sehr viel niedriger, so dass die meisten – aber nicht alle – Unternehmen einen Datenschutzbeauftragten bestellen müssen.

Was müssen Unternehmen sonst noch beachten, um die Daten ihrer Mitarbeiter DSGVO-konform zu verarbeiten? 

Die DSGVO regelt umfassend den Umgang mit personenbezogenen Daten, also Informationen zu lebenden natürlichen Personen. Neben dem Erfordernis einer Rechtsgrundlage für die Datenverarbeitung, dem sog. Prinzip der Rechtmäßigkeit der Verarbeitung, ergeben sich aus der DSGVO und dem Bundesdatenschutzgesetz (BDSG) zahlreiche weitere Pflichten und Prozesse, die beim Umgang mit personenbezogenen Daten zu beachten sind.

Besonders wichtig ist die Transparenz der Datenverarbeitung. Das heißt, dass die Betroffenen über die Verarbeitung ihrer Daten und über ihre Rechte unter der DSGVO informiert werden müssen. Dies passiert in der Regel in Form der sog. Datenschutzerklärungen oder Datenschutzhinweise. Die Verarbeitung ihrer Daten muss für die Mitarbeiter nachvollziehbar sein. Bindet man im BGM zum Beispiel Dienstleister ein, müssen Mitarbeiter auch hierüber informiert werden. Insbesondere wenn solche Dienstleister ggfs. außerhalb der Europäischen Union die Daten verarbeiten, z.B. über Cloud Server in den USA oder ab Januar nächsten Jahres im Vereinigten Königreich.

Weitere wichtige Prinzipien, an die sich Unternehmen halten müssen, sind die sog. Datenminimierung und Speicherbegrenzung. Die Verarbeitung soll so wenige personenbezogene Daten erfassen, wie möglich. Zudem dürfen Daten nur so lange gespeichert werden, wie dies erforderlich ist und anschließend gelöscht werden. Unternehmen benötigen daher ein sog. Löschkonzept.

Zudem ist gerade bei der Verarbeitung von Gesundheitsdaten die Datensicherheit essentiell. Unternehmen müssen sog. technische und organisatorische Maßnahmen treffen, um die Daten unter anderem vor Zugriffen Unbefugter oder vor Verlust zu schützen. Das BDSG fordert bei der Verarbeitung von Gesundheitsdaten spezifische Maßnahmen, aufgrund der erhöhten Sensibilität solcher Daten für die Mitarbeiter. Zum Beispiel sollen Personen, die solche Gesundheitsdaten verarbeiten, besonders sensibilisiert und geschult und die Daten verschlüsselt werden. Hierauf ist auch bei der Auswahl von externen Dienstleistern besonders zu achten.

Kann die Verantwortung für den Datenschutz vom Unternehmen auf einen Dienstleister übertragen werden? 

Nein, auch bei Einbindung von Dienstleistern bleiben Unternehmen für die Verarbeitung ihrer Mitarbeiterdaten verantwortlich. Dabei sind verschiedenen Datenschutzrollen zu unterscheiden, die unterschiedliche vertragliche Klauseln nach der DSGVO voraussetzen und die Verantwortlichkeiten zwischen den Parteien unterschiedlich verteilen.

Dienstleister, die im Schwerpunkt ihrer Leistung Daten im Auftrag des Unternehmens verarbeiten, sind oft sog. Auftragsverarbeiter nach Art. 28 DSGVO. Bindet das Unternehmen einen Auftragsverarbeiter ein, muss es diesen sorgfältig auswählen und dafür sorgen, dass auch dieser die Voraussetzungen der DSGVO einhält. Auch muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden, der einen bestimmten gesetzlichen Mindestinhalt erfüllen muss. Ein Unternehmen kann also Dienstleister einsetzen, die Verantwortung aber nicht übertragen. Die DSGVO richtet jedoch auch bestimmte Vorgaben an die Dienstleister selbst, die diese in eigener Verantwortung einhalten müssen. Insbesondere dürfen Dienstleister die Daten nicht zu eigenen Zwecken verarbeiten.

Gibt es Besonderheiten, wenn Arbeitgeber Gesundheitsdaten für das Betriebliche Gesundheitsmanagement (BGM) ihrer Mitarbeiter erheben möchten?

Ja, Gesundheitsdaten sind aus Sicht der Mitarbeiter besonders sensibel und daher auch von der DSGVO und dem BDSG besonders geschützt. Gesundheitsdaten sind sog. „besondere Kategorien personenbezogener Daten“, ihre Verarbeitung unterliegt sowohl unter der DSGVO als auch dem BDSG zusätzlichen Voraussetzungen. 

Wichtig ist: Diese Besonderheiten und zusätzlichen Voraussetzungen gelten auch, wenn der Arbeitgeber aufgrund seiner arbeitsrechtlichen Fürsorgepflicht zu Arbeitsschutzmaßnahmen verpflichtet ist und deswegen diese Daten verarbeitet. 

Zudem sind die eben bereits erwähnten Maßnahmen zur Datensicherheit einzuhalten. Hier fordert das BDSG spezifische Maßnahmen, die die Sensibilität von Gesundheitsdaten besonders berücksichtigen. Zum Beispiel müssen die Daten soweit wie möglich pseudonymisiert werden. Das bedeutet, dass nicht der Name des Mitarbeiters zusammen mit den Gesundheitsdaten z.B. aus einer Gesundheitsapp oder einem Wearable verarbeitet werden. Stattdessen verwendet man ein Pseudonym, z.B. eine bestimmte Kennung vergleichbar mit der Mitarbeiternummer. Diese Kennungen sind weiterhin personenbezogene Daten, die Zusammenführung zum individuellen Mitarbeiter ist aber nicht mehr für jeden möglich. Dies schützt die Daten, insbesondere bei Verlust oder unbefugter Einsichtnahme erheblich.

Unter welchen Voraussetzungen ist eine Erhebung und Verarbeitung solcher besonderer Kategorien personenbezogener Daten möglich? 

Neben einer „normalen“ Rechtfertigungsgrundlage, zum Beispiel aus Artikel 6 Abs. 1 DSGVO oder § 26 Abs. 1 BDSG, bedarf es zusätzlich einer weiteren Verarbeitungsvoraussetzung speziell für diese Kategorie personenbezogener Daten. Für das BGM kommen mehrere Rechtsgrundlagen und sog. besondere Verarbeitungsbedingungen in Betracht: die Erfüllung arbeitsrechtlicher Pflichten (Stichwort: Arbeitssicherheit und Fürsorgepflicht); Gesundheitsvorsorge, Arbeitsmedizin und Beurteilung der Arbeitsfähigkeit; und für weitergehende Datenverarbeitungen die Einwilligung der Mitarbeiter. Auch die weitere Verarbeitung der Gesundheitsdaten aus dem BGM für weitere Zwecke ist an strenge Voraussetzungen gebunden. Möchte der Arbeitgeber die Daten des BGM später für andere Zwecke verwenden, muss er die Vereinbarkeit mit dem ursprünglichen Zweck genau prüfen.

Bei der Zustimmung bzw. Einwilligung ist in der Praxis zu beachten, dass die DSGVO und das BDSG sowie die Datenschutzbehörden hohe Anforderungen an eine wirksame Einwilligung stellen, insbesondere für Gesundheitsdaten. Im Arbeitsverhältnis muss insbesondere genau geprüft werden, ob die Einwilligung freiwillig abgegeben wurde. Hier hat der deutsche Gesetzgeber das BGM in der Gesetzesbegründung zum BDSG ausdrücklich genannt und festgehalten, dass die „Einführung eines Betrieblichen Gesundheitsmanagements zur Gesundheitsförderung“ den Mitarbeitern einen Vorteil im Sinne des BDSG gewährt, der für die Freiwilligkeit der Einwilligung spricht. Das ist in der Praxis sehr hilfreich. 

Wichtig für die Praxis ist beim Thema Einwilligung zudem, dass in meiner Erfahrung selten sämtliche Mitarbeiter zustimmen, so dass eine Differenzierung möglich sein muss. Auch haben Mitarbeiter das Recht, ihre Zustimmung oder Einwilligung jederzeit für die Zukunft zu widerrufen und zwar ohne die Angabe von Gründen. Nach dem Widerruf der Einwilligung muss das Unternehmen in der Regel mit der Datenverarbeitung aufhören.

Können Dienstleister dem Arbeitgeber aggregierte Statistiken oder Empfehlungen bereitstellen, die aus den Daten abgeleitet wurden?

Im Beschäftigtenkontext ist wichtig, dass der Arbeitgeber die Gesundheitsdaten seiner Mitarbeiter aus dem BGM in den meisten Fällen nicht direkt erhalten sollte. Insbesondere konkrete Diagnosen und Krankheiten sollten nicht erhoben werden. Eine Verarbeitung von Daten zur Gesundheitsvorsorge und Beurteilung der Arbeitsfähigkeit muss durch medizinisches Personal, zum Beispiel den Betriebsarzt, oder eine Person, die einer vergleichbaren Geheimhaltungspflicht unterliegt, erfolgen. Dem Arbeitgeber können diese Daten deswegen nur in anonymisierter Form zur Verfügung gestellt werden. Sind die aggregierten Statistiken und Empfehlungen also wirklich anonym, d.h. so abstrakt, dass sie nicht mehr auf einzelne Mitarbeiter zurückgeführt werden können, können diese Daten geteilt werden. Dies hängt auch maßgeblich von der Größe des Unternehmens ab. In kleinen Einheiten oder Abteilungen ist die Verbindung zu einzelnen Mitarbeitern leichter als in großen Einheiten.

Wie weit darf der Arbeitgeber bei Gesundheitsempfehlungen und in Nachverfolgung der Nutzung von Gesundheitsangeboten gehen?

Grundsätzlich werden dem Arbeitgeber die Daten nur in anonymisierter Form zur Verfügung gestellt. Er kann auf Grundlage dieser dann Gesundheitsempfehlungen an die Allgemeinheit bzw. Gruppen aussprechen. Dies entspricht auch seiner Fürsorgepflicht, die Gesundheit seiner Beschäftigten zu schützen.

Eine individuelle Ansprache oder Nachverfolgung der Nutzung von Gesundheitsangeboten einzelner Mitarbeiter wird dem Arbeitgeber hingegen nicht möglich sein, in der Regel auch nicht auf Basis einer Einwilligung.

Was gilt es bei Gesundheitsapps und der Einbindung von Dienstleistern im BGM zu beachten?

Setzt ein Unternehmen Gesundheitsapps für das BGM ein, muss die Nutzung dieser Apps für die Mitarbeiter freiwillig sein. Auch dürfen Mitarbeitern bei Nicht-Nutzung keine Nachteile entstehen, zum Beispiel ein Vorenthalten der verpflichtenden Arbeitsschutz- und Arbeitssicherheitsmaßnahmen.

Die Gesundheitsapp und Dienstleister müssen dabei insbesondere den bereits ausgeführten datenschutzrechtlichen Anforderungen genügen, zum Beispiel hinreichende Datensicherheit gewähren und die Daten so sparsam wie möglich und nicht zu weiteren, eigenen Zwecken nutzen. Ganz wichtig ist auch, dass die Verwendung von Gesundheitsapps nicht zur Überwachung der Mitarbeiter führt.

Bei der Auswahl von Apps oder Dienstleistern ist daher sorgfältig auf deren Einhaltung des Datenschutzes und der Datensicherheit zu achten. Ein Verstoß gegen die DSGVO kann nicht nur zu erheblichen Bußgeldern führen, sondern auch zu erheblichem Reputationsschaden und Vertrauensverlust der Mitarbeiter.

Vielen Dank für das Gespräch!